KR102321497B1 - 악성코드 감염 차단 시스템 및 방법 - Google Patents

악성코드 감염 차단 시스템 및 방법 Download PDF

Info

Publication number
KR102321497B1
KR102321497B1 KR1020200000411A KR20200000411A KR102321497B1 KR 102321497 B1 KR102321497 B1 KR 102321497B1 KR 1020200000411 A KR1020200000411 A KR 1020200000411A KR 20200000411 A KR20200000411 A KR 20200000411A KR 102321497 B1 KR102321497 B1 KR 102321497B1
Authority
KR
South Korea
Prior art keywords
file
event
malicious code
manager module
level area
Prior art date
Application number
KR1020200000411A
Other languages
English (en)
Other versions
KR20210087304A (ko
Inventor
박형순
Original Assignee
주식회사 스텔스솔루션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 스텔스솔루션 filed Critical 주식회사 스텔스솔루션
Priority to KR1020200000411A priority Critical patent/KR102321497B1/ko
Publication of KR20210087304A publication Critical patent/KR20210087304A/ko
Application granted granted Critical
Publication of KR102321497B1 publication Critical patent/KR102321497B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Automation & Control Theory (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 랜섬웨어(Ransomware)와 같은 악성코드에 대하여 파일 시스템 자체를 보안 디스크 영역에 보호하여 외부로부터 시도되는 공격이나 악성코드의 접근을 차단시키는 악성코드 감염 차단 시스템 및 방법을 제공한다. 이를 위한 시스템은 악성코드에 의한 프로세스의 접근을 통제하는 접근 통제 모듈과, 단말로부터 파일 관련 이벤트가 발생되면 이벤트에 대응되는 처리 루틴을 실행하도록 동작하되, 악성코드 공격에 의한 이벤트가 발생된 경우 이를 차단하기 위한 제어값을 접근 통제 모듈로 전달하여 악성코드의 감염을 차단하는 파일 관리자 모듈을 포함하여 구성된다.

Description

악성코드 감염 차단 시스템 및 방법{SYSTEM AND METHOD FOR PROVENTING MALWARE}
본 발명은 악성코드에 의한 감염을 차단하는 시스템 및 방법에 관한 것으로서, 랜섬웨어(Ransomware)와 같은 악성코드에 대하여 파일 시스템 자체를 보안 디스크 영역에 보호하여 외부로부터 시도되는 공격이나 악성코드의 접근을 차단시키는 악성코드 감염 차단 시스템 및 방법에 관한 것이다.
급속도로 발전한 초고속 인터넷망과 기술의 진보로 인해, 최근 들어, 자동자, 기계, 가정용 어플라이언스 등 전세계의 모든 디바이스들을 상호 연결할 수 있는 초연결 시대를 맞이하고 있으며, 이에 부합하여 스마트한 업무 환경이 구축되어 가고 있다.
그러나, 인터넷의 급격한 발달 및 확산에 따라 다양한 종류의 악성코드(malware)가 증가하고 있고 이로 인한 피해도 급증하고 있다.
악성코드에는 컴퓨터 바이러스, 랜섬웨어, 웜 그리고 트로이목마 등이 있으며, 이 중 랜섬웨어(Ransomware)는 컴퓨터 시스템을 감염시켜 접근을 제한하고 상당한 금전을 요구하는 진화된 형태의 악성코드이다. 랜섬웨어에 감염된 컴퓨터는 컴퓨터로의 접근이 제한되기 때문에 이 감염을 없애려면 해당 악성코드를 유포한 자에게 지불을 강요받게 된다. 이때 암호화되는 랜섬웨어가 있는 반면, 어떤 것은 시스템을 단순하게 잠그고 컴퓨터 사용자가 지불하게 만들기 위해 안내문구를 띄운다.
따라서 랜섬웨어의 유포를 막기 위하여 대부분의 기관에서는 백신 프로그램을 사용하고 있다. 그러나 대부분의 백신 프로그램은 새롭게 배포되는 랜섬웨어를 탐지할 수 없고, 한 번 피해를 본 이후에만 백신이 만들어져서 예방이 가능하다는 한계가 있다. 또한, 기존에 알려진 랜섬웨어 조차도 다양한 변형과 진화를 거치고 있는 데 반해, 백신 전문 회사에서 제공되는 랜섬웨어 방지패턴은 제한된 몇몇 랜섬웨어에서 추출된 것에 국한되므로 다양한 변형과 진화를 거친 신규 랜섬웨어에 대하여 신속하게 대응할 수 없다는 것이 현실이다.
특히, 네트워크 환경에서 하나의 네트워크 상에서 동작하는 임의 단말이 랜섬웨어에 감염되는 경우, 내부 단말들 간의 통신에 의해 랜섬웨어가 확산되어 다른 단말의 파일들까지도 모두 감염될 수 있다. 따라서 기존 백신 프로그램들을 설치하였다 하더라도 긴급 대응 능력이 없어서, 제로-데이 공격(Zero-day attack) 등 다양한 형태의 랜섬웨어 유포뿐만 아니라 최근에는 단순히 홈페이지를 방문만 해도 네트워크를 통해 랜섬웨어에 감염되기도 한다. 즉, 기존의 랜섬웨어 방지 방법들로는 효과적인 예방과 복구가 어려운 취약점을 가지고 있다.
이와 같이 시대의 변화에 따른 랜섬웨어 감염문제에 대한 대응방안이 심각하게 요구되고 있다.
대한민국 등록특허공보 제10-1780891호
본 발명은 상기와 같은 문제점을 해결하기 위한 것으로서, 랜섬웨어와 같은 악성코드에 의한 파일 감염을 예방하고 감염된 파일들을 효과적으로 복구하기 위한 시스템 및 방법을 제공하는데 그 목적이 있다.
특히, 본 발명의 목적은 랜섬웨어와 같은 불법 프로세서가 접근하지 못하게 차단하는 시큐어 파일 시스템을 구현하되, 불법 프로세서가 접근하더라도 파일들을 찾을 수 없도록 중요한 파일을 보안 디스크 영역에 저장하여 샌드박스(sandbox)화하고, 데이터를 암호화 처리함으로써 악성코드에 의한 감염을 원천 차단하는데 있다.
본 발명의 다른 목적은 전용 에이전트를 통해 인증된 단말만이 시큐어 파일 시스템에 접근하도록 구현함으로써 악성코드의 침투를 원천 차단하도록 하는 데 있다.
본 발명의 또 다른 목적은 시큐어 파일 시스템을 통해 랜섬웨어에 감염된 중요한 파일의 복구도 가능하게 하는 데 있다.
이를 위하여 본 발명의 실시예에 따른 악성코드 감염 차단 시스템은, 프로세스의 접근을 통제하는 접근 통제 모듈; 및 단말로부터 파일 관련 이벤트가 발생되면 상기 이벤트에 대응되는 처리 루틴을 실행하도록 동작하되, 상기 이벤트가 악성코드 공격에 의한 이벤트에 해당하는 경우 상기 악성코드에 의한 프로세스를 차단하기 위한 제어값을 상기 접근 통제 모듈로 전달하여 악성코드의 감염을 차단하는 파일 관리자 모듈;을 포함한다.
게다가, 본 발명의 실시예에 따른 악성코드 감염 차단 시스템은, 상기 단말로부터 파일 관련 이벤트가 발생되면 상기 접근 통제 모듈과 연계하여 정상적인 접근을 하기 위한 인증을 수행하는 전용 에이전트를 더 포함하여, 상기 파일 관리자 모듈에 접속해서 파일에 대한 이벤트를 수행할 수 있는 프로세스가 상기 전용 에이전트를 통해 인증을 수행한 후에만 가능하도록 한다.
또한, 본 발명의 실시예에 따른 악성코드 감염 차단 시스템은, 상기 파일 관련 이벤트를 실행하는 데 발생하는 데이터를 암호화 및 복호화하는 암복호화 모듈을 더 포함할 수 있다.
본 발명의 실시예에서, 상기 파일에 대한 원본 데이터는 운영체제의 커널 레벨 영역 내 보안 디스크 영역에 백업되고, 상기 파일 관리자 모듈은 상기 커널 레벨 영역이 아닌 사용자 레벨 영역에서 동작하되 상기 커널 레벨 영역에 백업된 파일과 관련하여 이벤트를 수행할 경우에는 상기 커널 레벨 영역으로 동작 모드를 전환하여 상기 커널 레벨 영역 내 보안 디스크 영역으로 액세스하도록 구현된다.
또한, 상기 파일 관리자 모듈은, 상기 사용자 레벨 영역에서 실제 디바이스에 저장되지 않는 가상의 파일처리 프로토콜을 통해 동작하며, 상기 프로토콜은 상기 파일 관련 이벤트와 상기 이벤트에 대한 가상 처리 루틴 프로세스가 일대일 매핑되어 있어, 상기 파일 관련 이벤트가 발생되면 각 이벤트에 해당하는 프로토콜에 대하여 처리해주는 가상 처리 루틴을 실행할 수 있다.
또한, 상기 파일 관리자 모듈은, 상기 가상 처리 루틴을 실행하기 위해 API(Application Program Interface)를 호출하고 상기 호출에 의해 커널 레벨 영역으로 동작 모드 전환이 가능할 것이다.
상기 파일 관련 이벤트는 상기 파일에 대한 열기(file open), 읽기(file read), 쓰기(file write), 복사(file copy), 삭제(file delete), 이름바꾸기(file rename), 디렉토리 리스트(directory list)를 포함한다.
한편, 본 발명의 실시예에 따른 악성코드 감염 차단 방법은, 악성코드에 의한 감염을 차단하기 위한 시스템에서의 방법으로서, 상기 시스템이 단말로부터 발생되는 파일 관련 이벤트를 수신하는 단계; 상기 시스템의 파일 관리자 모듈이 수신한 이벤트에 대하여 악성코드에 의한 이벤트인지 여부를 확인하는 단계; 상기 이벤트가 정상 프로세스에 의한 이벤트인 경우 상기 파일 관리자 모듈이 상기 이벤트에 대응되는 처리 루틴을 실행하도록 동작하는 단계; 상기 이벤트가 악성코드 공격에 의한 이벤트인 경우 상기 파일 관리자 모듈이 상기 악성코드에 의한 프로세스를 차단하기 위한 제어값을 전달하는 단계; 상기 시스템의 접근 통제 모듈이 상기 제어값을 전달받게 되면 상기 악성코드에 의한 프로세스의 접근을 차단하는 단계를 포함하여 구성된다.
일 실시예로, 본 발명의 실시예에 따른 악성코드 감염 차단 방법은 상기 단말로부터 파일 백업 이벤트가 발생되면, 상기 파일 관리자 모듈이 파일 쓰기(file write) API를 호출하여 내부에 동일 파일이 존재하는지 여부를 확인하는 단계; 상기 동일 파일이 존재하지 않는 경우 상기 파일 관리자 모듈이 상기 커널 드라이버로 상기 파일에 대한 원본 데이터 정보를 전달하는 단계; 및 상기 커널 드라이버가 상기 커널 레벨 영역 내 보안 디스크 영역에 상기 파일에 대한 원본 데이터 정보를 저장 및 백업하는 단계를 포함할 수 있다.
다른 실시예로, 본 발명의 실시예에 따른 악성코드 감염 차단 방법은 상기 악성코드에 의해 감염되어 훼손된 파일에 대한 복구 이벤트가 발생되면, 상기 파일 관리자 모듈이 파일 읽기(file read) API를 호출하여 내부에 동일 파일이 존재하는지 여부를 확인하는 단계; 상기 동일 파일이 존재하지 않는 경우 상기 파일 관리자 모듈이 상기 커널 레벨 영역 내 보안 디스크 영역에 접근하여 상기 파일에 대한 원본 데이터 정보를 읽어오는 단계; 및 상기 파일 관리자 모듈이 상기 원본 데이터 정보에 근거하여 상기 파일을 복구하는 단계를 포함할 수 있다.
이러한 본 발명에 따르면, 랜섬웨어 뿐만 아니라 기타 지능형 악성코드에 의한 공격에 대하여 사용자의 파일, 어플리케이션 또는 시스템을 보호하는 최상의 방어 수단을 제공할 수 있는 현저한 효과가 있다.
또한, 본 발명에 따르면, 다양한 공격 경로로 침투하는 랜섬웨어의 접근을 방해하고 더 나가서 변종 랜섬웨어에 감염된 중요한 데이터를 복구할 수 있는 방법을 확보할 수 있다.
또한, 본 발명은 파일 관련 이벤트(예컨대, creation/read/write 등) 중에 발생하는 데이터를 암호화하여 효율적인 데이터 보안 환경을 제공하며 효율적인 보안 마이그레이션(migration)도 수행할 수 있는 효과가 있다.
도 1은 본 발명의 실시예에 따른 악성코드 감염 차단 시스템에 대한 전체 개념을 설명하기 위한 도면이다.
도 2는 본 발명의 실시예에 따른 악성코드 감염 차단 시스템을 나타낸 구성도이다.
도 3은 본 발명의 실시예에 따른 시스템의 동작 메커니즘을 설명하기 위한 도면이다.
도 4는 본 발명의 실시에에 따른 시스템에서의 감염 차단 방법을 설명하기 위한 흐름도이다.
도 5는 본 발명의 실시예에 따른 시스템에서 전용 에이전트를 통해 원본파일을 생성 및 저장하는 방법을 설명하기 위한 흐름도이다.
도 6은 본 발명의 실시예에 따른 시스템에서 전용 에이전트를 통해 원본파일을 복구하는 방법을 설명하기 위한 흐름도이다.
이하, 본 발명의 구체적인 실시예를 첨부된 도면을 참조하여 상세히 설명하도록 한다.
본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 따라서, 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시예에 불과할 뿐이고 본 발명의 기술적 사상에 모두 대변하는 것은 아니므로, 본 출원 시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형 예들이 있을 수 있음을 이해하여야 한다.
또한, 본 명세서에서 사용되는 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "구성된다" 또는 "포함한다" 등의 용어는 명세서 상에 기재된 여러 구성 요소들, 또는 여러 단계들을 반드시 모두 포함하는 것으로 해석되지 않아야 하며, 그 중 일부 구성 요소들 또는 일부 단계들은 포함되지 않을 수도 있고, 또는 추가적인 구성 요소 또는 단계들을 더 포함할 수 있는 것으로 해석되어야 한다.
특히, 본 명세서에서, "~매니저" 및 "~ 모듈" 이라는 용어는 파일 시스템의 하드웨어적 구분을 의미하는 용어로 사용된 것이 아니다. 따라서 복수의 구성부가 하나의 구성부로 통합될 수도 있고, 하나의 구성부가 복수의 구성부로 분할될 수도 있다. 또한, 구성부는 하드웨어의 구성부를 의미할 수도 있지만, 소프트웨어의 구성부를 의미할 수도 있다. 따라서 본 발명은 "~매니저" 및 "~ 모듈"라는 용어에 의해 특별히 한정되지 않음을 이해하여야 할 것이다.
도 1은 본 발명의 실시예에 따른 악성코드 감염 차단 시스템에 대한 전체 개념을 설명하기 위한 도면이다.
본 발명의 실시예에 따른 악성코드 감염 차단 시스템은 사용자의 중요 데이터 또는 중요 파일의 원본데이터를 시큐어 파일 시스템(Secure File System)의 커널 레벨의 보안 영역에 백업해 두어 랜섬웨어와 같은 악성코드에 의해 공격받더라도 원본 데이터를 찾을 수 없도록 하는 데 그 기술적 특징이 있다.
따라서, 인증된 사용자의 단말이 파일 조회를 요청하면 해당 파일을 조회하여 제공하지만, 랜섬웨어에 감염된 단말이 파일 조회를 요청하면 랜섬웨어는 시큐어 파일 시스템의 파일들을 찾을 수 없기 때문에 어떠한 파일도 제공되지 않는다. 따라서, 본 발명의 실시예에 따른 시스템은 랜섬웨어의 감염을 원천적으로 막을 수 있다.
또한, 도 1에 도시하지는 않았으나 본 발명의 실시예에 따른 시스템은 전용 에이전트를 통해서만 시큐어 파일 시스템에 존재하는 파일들에 대한 조회가 가능하도록 구현함으로써 랜섬웨어의 접근 조차도 차단할 수 있다. 이에 대해서는 하기에서 자세히 설명한다.
도 2는 본 발명의 실시예에 따른 악성코드 감염 차단 시스템을 나타낸 구성도이다.
도 2에 도시한 바와 같이 본 발명의 실시예에 따른 악성코드 감염 차단 시스템(이하, '시스템'이라고 칭함)은 전용 에이전트(110) 및 시큐어 파일 시스템(Secure File System; 120)을 포함하여 구성된다.
전용 에이전트(110) 및 시큐어 파일 시스템(120)은 보안 대상이 되는 사용자의 단말에 설치되어, 랜섬웨어를 포함한 다양한 악성 소프트웨어로부터 사용자 데이터를 보호하는 보안 서비스를 제공한다. 사용자의 단말은 사용자 데이터를 생성, 가공, 저장하는 등과 같이 파일 관련 오퍼레이션(operation)을 처리하는 장치를 의미하는 것으로, 금융, 의료 분야 등 다양한 분야에서 대규모 데이터를 처리하는 시스템이나 해당 시스템에서 사용되는 단말, 개인용 PC 또는 모바일 단말 등일 수 있다.
이때, 전용 에이전트(110) 및 시큐어 파일 시스템(120)은 단말 내 운영체제(OS)의 사용자(User) 레벨 영역에 존재한다. 이는 일반 사용자가 OS의 커널(kernel)에 대한 별도의 수정없이 손쉽게 파일 시스템을 구축할 수 있다는 장점이 있다.
커널 레벨 영역에는 위와 같이 생성된 시큐어 파일 시스템(120)을 샌드박스(sandbox)화 시켜서 특수하게 매핑되어진다. 샌드박스화 된 영역은 사용자 레벨 영역에서 접근이 불가능한 보안 영역이 된다. 따라서, 랜섬웨어에 의한 프로세스가 접근하더라도 상기 프로세스가 샌드박스화된 영역으로는 접근이 불가능하므로 감염할 대상 파일을 찾지 못하게 된다. 따라서, 본 발명의 실시예에서는 샌드박스화 된 영역에 사용자의 중요 데이터 또는 중요 파일에 대한 원본 데이터를 백업하고, 사용자 레벨에서 커널 레벨에 백업된 파일로 액세스하기 위한 구성이 구축된다.
이를 위한 구성으로, 시큐어 파일 시스템(120)은 접근 통제 모듈(Access Manager; 121), 파일 관리자 모듈(File Manager; 123), 암복호화 모듈(Cipher Manager; 125)을 포함한다. 전용 에이전트(110)는 인증 매니저(Auth Mamager; 111) 및 이벤트 매니저(Event Manager; 113)를 포함한다.
전용 에이전트(110)의 인증 매니저(111)는 시큐어 파일 시스템(120)의 접근 통제 모듈(121)과 연계되어 정상적인 접근을 하기 위한 인증을 수행한다. 본 실시예에서, 인증 매니저(111)는 적어도 랜섬웨어 등의 악성 소프트웨어에 감염된 단말과 감염되지 않은 정상 단말을 구분하여 인증을 수행할 수 있다. 즉, 적절한 인증을 통해서 정상 프로세스로 인증받을 수 있다.
이벤트 매니저(113)는 단말로부터 발생되는 파일 관련 이벤트를 관리한다. 즉, 이벤트 매니저(113)는 단말로부터 발생되는 파일 관련 이벤트를 수신하고, 수신한 이벤트를 시큐어 파일 시스템(120)의 파일 관리자 모듈(123)로 전달한 후, 이에 응답하여 파일 관리자 모듈(123)로부터 파일 관련 이벤트에 대응되는 처리 결과를 제공받는다.
인증 매니저(111) 및 이벤트 매니저(113)는 하드웨어적인 구성을 의미하는 것이 아니라 기능적인 구성을 구분한 것으로, 하나의 프로그램 또는 어플리케이션 형태로 구현될 수 있다.
시큐어 파일 시스템(120)의 접근 통제 모듈(121)은 악성코드에 의한 프로세스의 접근을 통제한다. 특히, 접근 통제 모듈(121)은 전용 에이전트(110)의 인증 매니저(111)와 연계되어 인증된 정상 단말만이 접근하도록 관리한다. 혹, 전용 에이전트(110)를 통해 비정상 단말이 접근하더라도 접근 통제 모듈(121)은 파일 관리자 모듈(123)의 제어에 의해 비정상 프로세스의 접근을 차단할 수 있다.
파일 관리자 모듈(123)은 단말로부터 파일 관련 이벤트가 발생되면 전용 에이전트(110)의 이벤트 매니저(113)로부터 이를 수신하고, 상기 이벤트에 대응되는 처리 루틴을 실행하도록 동작한다. 만약, 상기 이벤트가 악성코드 공격에 의한 이벤트에 해당하는 경우 파일 관리자 모듈(123)은 악성코드에 의한 프로세스를 차단하기 위한 제어값, null값을 접근 통제 모듈(121)로 전달하여 악성코드의 감염을 차단한다.
암복호화 모듈(125)은 파일 관련 이벤트를 실행하는 데 발생하는 데이터를 암호화 및 복호화하여 데이터 보안을 강화한다.
파일 관련 이벤트는 파일에 대한 열기(file open), 읽기(file read), 쓰기(file write), 복사(file copy), 삭제(file delete), 이름바꾸기(file rename), 디렉토리 리스트(directory list) 등을 포함한다.
이와 같이 본 발명의 실시예에 따른 시스템 구성에 따르면, 시큐어 파일 시스템(120)에 접속해서 파일에 대한 이벤트를 수행할 수 있는 프로세스는 전용 에이전트(110)를 통해서만 가능하다.
즉, 시큐어 파일 시스템(120)에 접근할 수 있는 전용 에이전트(110)에는 인증 매니저111)가 있어서 적절한 인증을 통해서 정상 프로세스로 인증받을 수 있다. 전용 에이전트(110)를 통하여 시큐어 파일 시스템(120)에 접근하는 비정상 프로세스들은 일차적으로 전용 에이전트(110)에 의해 차단되지만, 전용 에이전트(110)를 통해 접근하더라도 샌드박스화 된 커널 레벨 영역의 파일들을 찾을 수 없다. 또한, 비정상 프로세스에 의해 임의 파일이 훼손되더라도 샌드박스화 된 커널 레벨 영역의 파일에 기초하여 복구할 수 있다.
한편, 파일 관리자 모듈(120)은 사용자 레벨에서 동작하는데, 커널 레벨 영역에 백업된 파일과 관련하여 이벤트를 수행하기 위해서는 커널 레벨 영역으로 동작 모드를 전환하여 커널 레벨 영역 내 보안 디스크 영역으로 액세스한다. 이때, 사용자 레벨에서 커널 레벨로 동작 모드를 전환하게 하는 것은 API(Application Program Interface)를 통해 가능하다.
구체적으로, 파일 관리자 모듈(123)은 커널 모드가 아닌 유저 모드에서 실제 디바이스에 저장되지 않는 가상의 파일처리 프로토콜을 가지고 있다. 이 프로토콜은 인증을 거친 전용 에이전트(110)의 파일 관련 이벤트에 대하여 1:1 매핑되어 있으며, 각 이벤트에 대해서 각각의 처리 루틴을 가진다. 이러한 처리 루틴을 각 모듈들이 사용할 수 있도록 API화 시킨다. 파일 관련 이벤트가 전용 에이전트(110)로부터 전달되면, 파일 관리자 모듈(123)은 각 이벤트에 해당하는 프로토콜에 대해서 처리해 주는 가상처리 루틴을 호출하게 된다. 예컨대, 파일 읽기(read) 이벤트가 전달되면 파일 관리자 모듈(123)은 파일 읽기 API를 호출하고 상기 호출에 의해 커널 레벨 영역의 커널 드라이버가 활성화된다. 커널 드라이버는 커널 레벨 영역 내 보안 디스크 영역에 백업된 파일을 읽은 후 디렉토리 리스트 API를 통해 파일 관리자 모듈(123)로 전달한다.
한편, 본 발명의 시큐어 파일 시스템(120)을 샌드박스로 생성하는 메커니즘을 설명한다.
도 3에 도시된 바와 같이, 구축된 시큐어 파일 시스템(120)을 샌드박스화(sandboxing) 하려면 특정 폴더에 매핑시켜야 한다. 커널 드라이버를 통해 특정 폴더에 상기와 같이 구축된 시큐어 파일 시스템(120)을 마운트시켜서 매핑한다.
이후, 특정 폴더 안의 파일 시스템은 상기 시큐어 파일 시스템(120)에 의해서 동작된다. 이렇게 샌드박스를 만들어 주는 커널 드라이버는 파일 시스템 드라이버로 구현한다.
사용자 레벨 모드와 커널 레벨 모드간의 전환은 파일 시스템 드라이버에 의해 수행되며, 데이터의 전달은 윈도우나 리눅스 등 OS에 존재하는 메모리 매핑함수들을 사용하여 이루어진다.
다음으로 도 3 및 도 4를 참조하여 본 발명의 실시예에 따른 악성코드 감염 차단 방법을 설명한다.
도 3은 본 발명의 실시예에 따른 시스템의 동작 메커니즘을 설명하기 위한 도면이고, 도 4는 본 발명의 실시에에 따른 시스템에서의 감염 차단 방법을 설명하기 위한 흐름도이다.
도 3의 시스템 구성에 기초하여 설명하면, 본 발명의 실시예에 따른 악성코드 감염 차단 방법은, 먼저 S100 단계에서와 같이, 전용 에이전트(110)를 통해 정상 접근을 위한 인증 과정을 수행한다.
다시 말해, 단말에 접근한 프로세스가 전용 에이전트(110)의 인증 매니저(111)를 통해 정상 프로세스로 인증받으면, 시큐어 파일 시스템(120)의 접근 통제 모듈(121)을 통해 파일 시스템으로 접근할 수 있게 된다.
다음 S110 단계에서, 시큐어 파일 시스템(120)이 단말로부터 파일 관련 이벤트가 발생되는지 확인한다.
단말로부터 파일 관련 이벤트가 발생되면 발생된 이벤트는 전용 에이전트(110)의 이벤트 매니저(113)를 통해 시큐어 파일 시스템(120)으로 전달되고, 시큐어 파일 시스템(120)의 파일 관리자 모듈(123)은 이를 수신한다.
다음 S120 단계에서, 파일 관리자 모듈(123)이 수신한 이벤트에 대하여 악성코드에 의한 이벤트인지 여부를 확인한다.
확인 결과 이벤트가 악성코드 공격에 의한 이벤트인 경우, 다음 S130 단계에서와 같이, 파일 관리자 모듈(120)이 악성코드에 의한 프로세스를 차단하기 위한 제어값, null값을 접근 통제 모듈로 전달한다.
이후 S140 단계에서, 접근 통제 모듈(110)이 파일 관리자 모듈(120)로부터 전달받은 제어값에 의해 프로세스의 접근을 차단함으로써 악성코드의 감염을 원천적으로 차단한다.
확인 결과 이벤트가 정상 프로세스에 의한 이벤트인 경우, 다음 S150 단계와 같이, 파일 관리자 모듈(120)이 상기 이벤트와 대응되는 가상 처리 루틴 API를 호출한다. 이는 사용자 레벨에서 동작하는 파일 관리자 모듈(120)이 커널 레벨 영역에 존재하는 파일에 액세스하기 위한 커널 레벨로 동작 모드를 전환하기 위한 구성이다.
이후 S160 단계에서, 상기 API 호출에 의해 커널 레벨 영역의 커널 드라이버가 활성화되고, 파일 관리자 모듈(120)이 커널 드라이버와 연계되어 커널 레벨 영역에 매핑되어 있는 해당 샌드박스 폴더로 액세스한 후 샌드박스에 백업된 파일에 대하여 처리 루틴을 실행한다.
이후, 파일 관리자 모듈(120)이 처리 루틴을 실행한 정보를 전용 에이전트(110)로 전송함으로써 파일 관련 이벤트에 대응하여 처리한 결과를 제공한다.
일 실시예로, 도 5는 본 발명의 실시예에 따른 시스템에서 전용 에이전트를 통해 원본파일을 생성 및 저장하는 방법을 설명하기 위한 흐름도이다.
이 단계들은 랜섬웨어의 감염을 막기 위해서 중요한 데이터 파일들을 커널 레벨 영역의 샌드박스에 저장하는 단계이다.
먼저, 단말로부터 파일의 원본 데이터 정보와 함께 파일 쓰기(file write) 이벤트가 발생되면, 전용 에이전트(110)를 통해서 샌드박스화 되어 있는 폴더로 발생된 이벤트의 정보들이 전달된다. 원본 데이터 정보는 원본 파일의 이름(name)과 크기(size)에 해쉬태그(hash tag)를 포함하고, 해쉬태그는 원본에 대한 복구를 위한 unique한 값으로서 복구 시에 원본인지를 확인할 수 있도록 파일저장 디렉토리명과 파일명, 파일크기, 시간 등의 값을 이용하여 추출된다.
다음 S200 단계에서, 전용 에이전트(110)의 인증 매니저(111)가 시큐어 파일 시스템(120)의 접근 통제 모듈(110)과 정당한 인증 과정을 거쳐서 인증 (authentication)을 확보한다.
이후 S201 단계에서, 전용 에이전트(110)의 이벤트 매니저(113)가 시큐어 파일 시스템(120)의 파일 관리자 모듈(123)에게 파일 쓰기(file write) 이벤트를 전달한다.
다음 S202 단계에서, 파일 관리자 모듈(123)은 File Write API를 호출한다.
다음 S203 단계에서, 파일 관리자 모듈(123)이 동일한 파일이 존재하는지 여부를 확인하고, 동일한 파일이 없다면 다음 S204 단계에서 file Open, File Write API를 수행한다.
이후 S205 단계에서, 커널 레벨 영역의 커널 드라이버가 활성화되고 활성된 커널 드라이버에 의해 해당 API의 루틴이 실행된다. 이로써 파일 관리자 모듈(123)이 사용자 레벨 모드에서 커널 레벨 모드로 동작 모드를 전환할 수 있게 된다.
다음 S206 단계에서, 커널 드라이버가 샌드박스 폴더에 매핑되어 있는 실제 디스크 영역(보안 디스크 영역)에 파일을 생성 및 저장한다.
다음 S207 및 S208 단계에서, 커널 드라이버가 directory list API를 호출해서 시큐어 파일 시스템(120)의 파일 관리자 모듈(123)에게 샌드박스 폴더에 생성된 파일 정보를 전달한다.
이후 S209 단계에서, 파일 관리자 모듈(120)이 전용 에이전트(110)의 이벤트 매니저(113)에게 해당 파일 생성 결과 정보를 전달하여 통보한다.
이러한 과정들을 필요한 만큼 수차례 지속적으로 수행하게 되면, 원본 파일이 샌드박스화 되어 있는 시큐어 파일 시스템에 안전하게 저장 및 백업된다.
다른 실시예로, 도 6은 본 발명의 실시예에 따른 시스템에서 전용 에이전트를 통해 원본파일을 복구하는 방법을 설명하기 위한 흐름도이다.
이상의 설명에서 본 발명의 실시예에 따른 시스템은 전용 에이전트 및 시큐어 파일 시스템의 구성에 의해 악성코드의 접근을 차단하지만, 혹여 랜섬웨어가 전용 에이전트를 통과하여 의도치 않게 파일이 손상될 수 있다. 도 6은 정상 단말이 랜섬웨어에 감염되어 그 안의 중요한 파일들이 감염되었거나 일부 손상된 경우 처음과 같은 상태로 단말의 원본파일을 다시 복구하는 방법을 설명하고자 한다.
먼저, 단말로부터 파일 복구를 위한 읽기(file write) 이벤트가 발생되면, 전용 에이전트(110)를 통해서 샌드박스화 되어 있는 폴더로 복구 이벤트와 함께 원본 파일에 대한 이름(name)과 크기(size)에 해쉬태그(hash tag)를 포함한 원본 데이터 정보가 전달될 것이다.
그 이전에 S300 단계에서, 전용 에이전트(110)의 인증 매니저(111)가 시큐어 파일 시스템(120)의 접근 통제 모듈(110)과 정당한 인증 과정을 거쳐서 인증 (authentication)을 확보한다.
이후 S301 단계에서, 전용 에이전트(110)의 이벤트 매니저(113)가 시큐어 파일 시스템(120)의 파일 관리자 모듈(123)에게 파일 읽기(file write) 이벤트를 전달한다.
다음 S302 단계에서, 파일 관리자 모듈(123)은 File read API를 호출한다.
다음 S303 단계에서, 파일 관리자 모듈(123)이 동일한 파일이 존재하는지 여부를 확인하고, 동일한 파일이 없다면 다음 S304 단계에서 file Open, File read API를 수행한다.
이후 S305 단계에서, 커널 레벨 영역의 커널 드라이버가 활성화되고 활성된 커널 드라이버에 의해 해당 API의 루틴이 실행된다. 이로써 파일 관리자 모듈(123)이 사용자 레벨 모드에서 커널 레벨 모드로 동작 모드를 전환할 수 있게 된다.
다음 S306 단계에서, 커널 드라이버가 샌드박스 폴더에 매핑되어 있는 실제 디스크 영역(보안 디스크 영역)에 파일을 읽어온 후 복구한다.
다음 S307 및 S308 단계에서, 커널 드라이버가 directory list API를 호출해서 시큐어 파일 시스템(120)의 파일 관리자 모듈(123)에게 복구 완료된 파일 정보를 전달한다.
마지막으로 S209 단계에서, 파일 관리자 모듈(120)이 전용 에이전트(110)의 이벤트 매니저(113)에게 파일 복구 결과 정보를 전달하여 통보한다.
이러한 단계들을 거쳐, 원본 파일이 샌드박스화 되어 있는 시큐어 파일 시스템에서 랜섬웨어에 감염된 시스템을 다시 복구시킬 수 있다.
이상의 설명은 본 발명을 예시적으로 설명한 것에 불과하며, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 본 발명의 기술적 사상에서 벗어나지 않는 범위에서 다양한 변형이 가능할 것이다. 따라서 본 발명의 명세서에 개시된 실시예들은 본 발명을 한정하는 것이 아니다. 본 발명의 범위는 아래의 특허청구범위에 의해 해석되어야 하며, 그와 균등한 범위 내에 있는 모든 기술도 본 발명의 범위에 포함되는 것으로 해석해야 할 것이다.
100; 악성코드 감염 차단 시스템
110: 전용 에이전트 111: 인증 매니저
113: 이벤트 매니저 120: 시큐어 파일 시스템
121: 접근 통제 모듈 123: 파일 관리자 모듈
125: 암복호화 모듈

Claims (15)

  1. 프로세스의 접근을 통제하는 접근 통제 모듈;
    단말로부터 파일 관련 이벤트가 발생되면 상기 이벤트에 대응되는 처리 루틴을 실행하도록 동작하되, 상기 이벤트가 악성코드 공격에 의한 이벤트에 해당하는 경우 상기 악성코드에 의한 프로세스를 차단하기 위한 제어값을 상기 접근 통제 모듈로 전달하여 악성코드의 감염을 차단하는 파일 관리자 모듈; 및
    상기 단말로부터 발생되는 파일 관련 이벤트를 관리하는 전용 에이전트;
    를 포함하고,
    상기 전용 에이전트는,
    상기 파일 관련 이벤트를 발생하는 단말의 감염 유무를 1차 인증하고,
    상기 파일 관리자 모듈은,
    상기 전용 에이전트에 의해 1차 인증된 정상 단말에 상응하는 파일 관련 이벤트만을 상기 전용 에이전트로부터 제공받고,
    상기 전용 에이전트로부터 제공받은 파일 관련 이벤트가 악성코드 공격에 의한 이벤트인지를 2차 인증하며,
    상기 단말에 대한 1차 인증과 상기 이벤트에 대한 2차 인증이 완료된 정상 단말의 정상 이벤트에 대해서만 처리 루틴을 실행하는 악성코드 감염 차단 시스템.
  2. 삭제
  3. 제1항에 있어서,
    상기 파일 관련 이벤트를 실행하는 데 발생하는 데이터를 암호화 및 복호화하는 암복호화 모듈;
    을 더 포함하는 것을 특징으로 하는 악성코드 감염 차단 시스템.
  4. 제1항에 있어서,
    상기 파일에 대한 원본 데이터는 운영체제의 커널 레벨 영역 내 보안 디스크 영역에 백업되고,
    상기 파일 관리자 모듈은 상기 커널 레벨 영역이 아닌 사용자 레벨 영역에서 동작하되 상기 커널 레벨 영역에 백업된 파일과 관련하여 이벤트를 수행할 경우에는 상기 커널 레벨 영역으로 동작 모드를 전환하여 상기 커널 레벨 영역 내 보안 디스크 영역으로 액세스하는 것을 특징으로 하는 악성코드 감염 차단 시스템.
  5. 제4항에 있어서,
    상기 파일 관리자 모듈은,
    상기 사용자 레벨 영역에서 실제 디바이스에 저장되지 않는 가상의 파일처리 프로토콜을 통해 동작하며, 상기 프로토콜은 상기 파일 관련 이벤트와 상기 이벤트에 대한 가상 처리 루틴 프로세스가 일대일 매핑되어 있어, 상기 파일 관련 이벤트가 발생되면 각 이벤트에 해당하는 프로토콜에 대하여 처리해주는 가상 처리 루틴을 실행하는 것을 특징으로 하는 악성코드 감염 차단 시스템.
  6. 제5항에 있어서,
    상기 파일 관리자 모듈은,
    상기 가상 처리 루틴을 실행하기 위해 API(Application Program Interface)를 호출하고 상기 호출에 의해 커널 레벨 영역으로 동작 모드 전환이 가능한 것을 특징으로 하는 악성코드 감염 차단 시스템.
  7. 제1항에 있어서,
    상기 파일 관련 이벤트는 상기 파일에 대한 열기(file open), 읽기(file read), 쓰기(file write), 복사(file copy), 삭제(file delete), 이름바꾸기(file rename), 디렉토리 리스트(directory list)를 포함하는 것을 특징으로 하는 악성코드 감염 차단 시스템.
  8. 제6항에 있어서,
    상기 단말로부터 파일 백업 이벤트가 발생되면,
    상기 파일 관리자 모듈은,
    파일 쓰기(file write) API를 호출하여 내부에 동일 파일이 존재하는지 여부를 확인하고 동일 파일이 존재하지 않는 경우 커널 드라이버로 상기 파일에 대한 원본 데이터를 전달하여 상기 커널 레벨 영역 내 보안 디스크 영역에 상기 파일에 대한 원본 데이터를 저장 및 백업하는 것을 특징으로 하는 악성코드 감염 차단 시스템.
  9. 제6항에 있어서,
    상기 악성코드에 의해 감염되어 훼손된 파일에 대한 복구 이벤트가 발생되면,
    상기 파일 관리자 모듈은,
    파일 읽기(file read) API를 호출하여 내부에 동일 파일이 존재하는지 여부를 확인하고 동일 파일이 존재하지 않는 경우 상기 커널 레벨 영역 내 보안 디스크 영역에 액세스하여 상기 파일에 대한 원본 데이터를 읽어 온 후 복구하는 것을 특징으로 하는 악성코드 감염 차단 시스템.
  10. 제8항 또는 제9항에 있어서,
    상기 파일 관리자 모듈은,
    상기 이벤트와 함께 해당 파일의 이름(name), 크기(size), 해쉬태그(hash tag)를 포함한 원본 데이터 정보를 제공받으며,
    상기 해쉬태그는 상기 파일에 대한 유니크한 값으로서 상기 파일을 저장한 디렉토리명, 파일명, 파일크기, 시간을 포함한 값에 의해 추출된 것을 특징으로 하는 악성코드 감염 차단 시스템.
  11. 악성코드에 의한 감염을 차단하기 위한 시스템에서의 악성코드 감염 차단 방법으로서,
    상기 시스템이 단말로부터 발생되는 파일 관련 이벤트를 수신하는 단계;
    상기 시스템의 파일 관리자 모듈이 수신한 이벤트에 대하여 악성코드에 의한 이벤트인지 여부를 확인하는 단계;
    상기 이벤트가 정상 프로세스에 의한 이벤트인 경우 상기 파일 관리자 모듈이 상기 이벤트에 대응되는 처리 루틴을 실행하도록 동작하는 단계;
    상기 이벤트가 악성코드 공격에 의한 이벤트인 경우 상기 파일 관리자 모듈이 상기 악성코드에 의한 프로세스를 차단하기 위한 제어값을 전달하는 단계;
    상기 시스템의 접근 통제 모듈이 상기 제어값을 전달받게 되면 상기 악성코드에 의한 프로세스의 접근을 차단하는 단계;
    를 포함하고,
    상기 시스템은,
    상기 단말로부터 발생되는 파일 관련 이벤트를 수신할 때, 상기 파일 관련 이벤트를 발생하는 단말의 감염 유무를 1차 인증하고, 상기 1차 인증된 정상 단말에 상응하는 파일 관련 이벤트만을 수신하며,
    상기 이벤트에 대응되는 처리 루틴을 실행할 때, 상기 파일 관련 이벤트가 악성코드 공격에 의한 이벤트인지를 2차 인증하고, 상기 단말에 대한 1차 인증과 상기 이벤트에 대한 2차 인증이 완료된 정상 단말의 정상 이벤트에 대해서만 처리 루틴을 실행하는 악성코드 감염 차단 방법.
  12. 제11항에 있어서,
    상기 파일에 대한 원본 데이터는 운영체제의 커널 레벨 영역 내 보안 디스크 영역에 백업되고,
    상기 접근 통제 모듈 및 상기 파일 관리자 모듈은 상기 커널 레벨 영역이 아닌 사용자 레벨 영역에서 동작하되 상기 커널 레벨 영역에 백업된 파일과 관련하여 이벤트를 수행하는 경우에는 상기 커널 레벨 영역으로 동작 모드를 전환하여 상기 커널 레벨 영역 내 보안 디스크 영역으로 액세스하는 것을 특징으로 하는 악성코드 감염 차단 방법.
  13. 제12항에 있어서,
    상기 단말로부터 파일 백업 이벤트가 발생되면,
    상기 파일 관리자 모듈이 파일 쓰기(file write) API를 호출하여 내부에 동일 파일이 존재하는지 여부를 확인하는 단계;
    상기 동일 파일이 존재하지 않는 경우 상기 파일 관리자 모듈이 커널 드라이버로 상기 파일에 대한 원본 데이터 정보를 전달하는 단계; 및
    상기 커널 드라이버가 상기 커널 레벨 영역 내 보안 디스크 영역에 상기 파일에 대한 원본 데이터 정보를 저장 및 백업하는 단계;
    를 포함하는 것을 특징으로 하는 악성코드 감염 차단 방법.
  14. 제12항에 있어서,
    상기 악성코드에 의해 감염되어 훼손된 파일에 대한 복구 이벤트가 발생되면,
    상기 파일 관리자 모듈이 파일 읽기(file read) API를 호출하여 내부에 동일 파일이 존재하는지 여부를 확인하는 단계;
    상기 동일 파일이 존재하지 않는 경우 상기 파일 관리자 모듈이 상기 커널 레벨 영역 내 보안 디스크 영역에 접근하여 상기 파일에 대한 원본 데이터 정보를 읽어오는 단계; 및
    상기 파일 관리자 모듈이 상기 원본 데이터 정보에 근거하여 상기 파일을 복구하는 단계;
    를 포함하는 것을 특징으로 하는 악성코드 감염 차단 방법.
  15. 제13항 또는 제14항에 있어서,
    상기 원본 데이터 정보는 해당 파일의 이름(name), 크기(size), 해쉬태그(hash tag)를 포함하며,
    상기 해쉬태그는 상기 파일에 대한 유니크한 값으로서 상기 파일을 저장한 디렉토리명, 파일명, 파일크기, 시간을 포함한 값에 의해 추출된 것을 특징으로 하는 악성코드 감염 차단 방법.
KR1020200000411A 2020-01-02 2020-01-02 악성코드 감염 차단 시스템 및 방법 KR102321497B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200000411A KR102321497B1 (ko) 2020-01-02 2020-01-02 악성코드 감염 차단 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200000411A KR102321497B1 (ko) 2020-01-02 2020-01-02 악성코드 감염 차단 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20210087304A KR20210087304A (ko) 2021-07-12
KR102321497B1 true KR102321497B1 (ko) 2021-11-03

Family

ID=76859203

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200000411A KR102321497B1 (ko) 2020-01-02 2020-01-02 악성코드 감염 차단 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR102321497B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102714388B1 (ko) * 2023-12-08 2024-10-11 주식회사 옵시아 IoT/IIoT 디바이스를 대상으로 한 이상 및 악성 프로세스 탐지 시스템

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101227187B1 (ko) * 2010-08-16 2013-01-28 소프트캠프(주) 보안영역 데이터의 반출 제어시스템과 그 제어방법
KR101369251B1 (ko) * 2011-12-29 2014-03-06 주식회사 안랩 시스템 파일 보호 및 복구를 위한 장치, 방법, 사용자 단말기 및 시스템
KR101780891B1 (ko) 2016-02-17 2017-09-21 박영춘 화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 시스템 및 방법
KR20180135601A (ko) * 2017-06-13 2018-12-21 김대엽 컴퓨터 시스템의 랜섬웨어 실시간 탐지 와 차단 방법 및 그 장치

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102714388B1 (ko) * 2023-12-08 2024-10-11 주식회사 옵시아 IoT/IIoT 디바이스를 대상으로 한 이상 및 악성 프로세스 탐지 시스템

Also Published As

Publication number Publication date
KR20210087304A (ko) 2021-07-12

Similar Documents

Publication Publication Date Title
JP7121112B2 (ja) セキュアストレージデバイス
US8195953B1 (en) Computer program with built-in malware protection
RU2714607C2 (ru) Двукратная самодиагностика памяти для защиты множества сетевых конечных точек
US9888032B2 (en) Method and system for mitigating the effects of ransomware
US20200082081A1 (en) Systems and methods for threat and information protection through file classification
EP3692440B1 (en) Systems and methods for preventing malicious applications from exploiting application services
KR101626424B1 (ko) 가상 머신 모니터 기반 안티 악성 소프트웨어 보안 시스템 및 방법
US10795707B2 (en) Systems and methods for ensuring computer system security via a virtualized layer of application abstraction
RU2723665C1 (ru) Динамический индикатор репутации для оптимизации операций по обеспечению компьютерной безопасности
CN108595982B (zh) 一种基于多容器分离处理的安全计算架构方法及装置
US7712135B2 (en) Pre-emptive anti-virus protection of computing systems
EP3797371B1 (en) Systems and methods for controlling an application launch based on a security policy
US8402539B1 (en) Systems and methods for detecting malware
US9454652B2 (en) Computer security system and method
Ami et al. Ransomware prevention using application authentication-based file access control
KR102321497B1 (ko) 악성코드 감염 차단 시스템 및 방법
Manès et al. Domain Isolated Kernel: A lightweight sandbox for untrusted kernel extensions
RU2460133C1 (ru) Система и способ защиты компьютерных приложений
Srinivasan Protecting anti-virus software under viral attacks
CA2691129A1 (en) Activex object method and computer program system for protecting against crimeware key stroke loggers
Wolf Ransomware detection
Ward et al. Security considerations for next-generation operating systems for cyber-physical systems
RU2768196C9 (ru) Защищённое запоминающее устройство
JP2018136904A (ja) ウイルス駆除システム
Kim et al. Enhanced Intrusion Tolerant System for Mobile Payment

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant